Резидентные вирусы активны. Файловый нерезидентный вирус

Большинство пользователей хоть раз в жизни сталкивались с понятием Правда, не многие знают, что классификация угроз в основе своей состоит из двух больших категорий: нерезидентные и резидентные вирусы. Остановимся на втором классе, поскольку именно его представители являются наиболее опасными, а иногда и неудаляемыми даже при форматировании диска или логического раздела.

Что такое резидентные вирусы?

Итак, с чем же имеет дело пользователь? Для упрощенного объяснения структуры и принципов работы таких вирусов для начала стоит остановиться на объяснении того, что такое резидентная программа вообще.

Считается, что к такому типу программ относятся приложения, работающие постоянно в режиме мониторинга, явным образом не проявляя своих действий (например, те же штатные антивирусные сканеры). Что же касается угроз, проникающих в компьютерные системы, они не только висят постоянно в памяти компьютера, но и создают собственные дубли. Таким образом, копии вирусов и постоянно следят за системой, и перемещаются по ней, что существенно затрудняет их поиск. Некоторые угрозы способны еще и менять собственную структуру, а их детектирование на основе общепринятых методов становится практически невозможным. Чуть позже рассмотрим, как избавиться от вирусов такого типа. А пока остановимся на основных разновидностях резидентных угроз.

DOS-угрозы

Изначально, когда Windows- или UNIX-подобных систем еще и в помине не было, а общение пользователя с компьютером происходило на уровне команд, появилась «операционка» DOS, достаточно долго продержавшаяся на пике популярности.

И именно для таких систем начали создаваться нерезидентные и резидентные вирусы, действие которых сначала было направлено на нарушение работоспособности системы или удаление пользовательских файлов и папок.

Принцип действия таких угроз, который, кстати, широко применяется и до сих пор, состоит в том, что они перехватывают обращения к файлам, а после этого заражают вызываемый объект. Впрочем, большинство известных сегодня угроз работает именно по этому типу. Но вот проникают вирусы в систему либо посредством создания резидентного модуля в виде драйвера, который указывается в файле системной конфигурации Config.sys, либо через использование специальной функции KEEP для отслеживания прерываний.

Хуже дело обстоит в том случае, когда резидентные вирусы такого типа используют выделение под себя областей системной памяти. Ситуация такова, что сначала вирус «отрезает» кусок свободной памяти, затем помечает эту область как занятую, после чего сохраняет в ней собственную копию. Что самое печальное, известны случаи, когда копии находятся и в видеопамяти, и в областях, зарезервированных под буфер обмена, и в таблицах векторов прерываний, и в рабочих областях DOS.

Все это делает копии вирусных угроз настолько живучими, что они, в отличие от нерезидентных вирусов, которые работают, пока запущена какая-то программа или функционирует операционная система, способны активироваться вновь даже после перезагрузки. Кроме того, при обращении к зараженному объекту вирус способен создавать собственную копию даже в оперативной памяти. Как следствие - моментальное Как уже понятно, лечение вирусов этого типа должно производиться при помощи специальных сканеров, причем желательно не стационарных, а портативных или тех, которые способны загружаться с оптических дисков или USB-носителей. Но об этом несколько позже.

Загрузочные угрозы

Загрузочные вирусы проникают в систему по схожему методу. Вот только ведут они себя, что называется, утонченно, сначала «съедая» кусок системной памяти (обычно 1 Кб, но иногда этот показатель может достигать максимум 30 Кб), затем прописывая туда собственный код в виде копии, после чего начиная требовать перезагрузку. Это чревато негативными последствиями, поскольку после рестарта вирус восстанавливает уменьшенную память до исходного размера, а его копия оказывается вне системной памяти.

Кроме отслеживания прерываний такие вирусы способны прописывать собственные коды в загрузочном секторе (запись MBR). Несколько реже используются перехваты BIOS и DOS, причем сами вирусы загружаются однократно, не проверяя наличие собственной копии.

Вирусы под Windows

С появлением Windows-систем разработки вирусов вышли на новый уровень, к сожалению. Сегодня именно Windows любой версии считается наиболее уязвимой системой, несмотря даже на усилия, прилагаемые специалистами корпорации Microsoft в области разработки модулей безопасности.

Вирусы, рассчитанные на Windows, работают по принципам, схожим с DOS-угрозами, вот только способов проникновения на компьютер тут гораздо больше. Из самых распространенных выделяют три основных, по которым в системе вирус может прописать собственный код:

• регистрация вируса как работающего в данный момент приложения;
• выделение блока памяти и запись в него собственной копии;
• работа в системе под видом драйвера VxD или маскировка под драйвер Windows NT.

Зараженные файлы или области системной памяти, в принципе, можно вылечить стандартными методами, которые применяются в (детектирование по маске вируса, сравнение с базами сигнатур и т. д.). Однако если используются простенькие бесплатные программы, они могут вирус и не определить, а иногда даже выдать ложное срабатывание. Поэтому луче применять портативные утилиты вроде «Доктор Веб» (в частности, Dr. Web CureIt!) или продукты «Лаборатории Касперского». Впрочем, сегодня можно найти достаточно много утилит такого типа.

Макро-вирусы

Перед нами еще одна разновидность угроз. Название происходит от слова «макрос», то есть исполняемого апплета или надстройки, применяемых в некоторых редакторах. Неудивительно, что запуск вируса происходит в момент старта программы (Word, Excel и т. д.), открытия офисного документа, его печати, вызова пунктов меню и т. п.

Такие угрозы в виде системных макросов находятся в памяти в течение всего времени работы редактора. Но в целом если рассматривать вопрос о том, как избавиться от вирусов данного типа, решение оказывается достаточно простым. В некоторых случаях помогает даже обычное отключение надстроек или выполнения макросов в самом редакторе, а также задействование антивирусной защиты апплетов, не говоря уже об обычном быстром сканировании системы антивирусными пакетами.

Вирусы на основе технологии «стелс»

Теперь посмотрим на маскирующиеся вирусы, ведь не зря же они получили свое название от самолета-невидимки.

Суть их функционирования как раз и состоит в том, что они выдают себя за системный компонент, а определить их обычными способами иногда оказывается достаточно сложным делом. Среди таких угроз можно найти и макровирусы, и загрузочные угрозы, и DOS-вирусы. Считается, что для Windows стелс-вирусы еще не разработаны, хотя многие специалисты утверждают, что это всего лишь дело времени.

Файловые разновидности

Вообще все вирусы можно назвать файловыми, поскольку они так или иначе затрагивают файловую систему и воздействуют на файлы, то ли заражая их собственным кодом, то ли шифруя, то ли делая недоступными по причине порчи или удаления.

Самыми простыми примерами можно назвать современные вирусы-шифровальщики (вымогатели), а также печально известный I Love You. С ними без специальных расшифровочных ключей лечение вирусов произвести не то что сложно, а зачастую невозможно вообще. Даже ведущие разработчики антивирусного ПО бессильно разводят руками, ведь, в отличие от современных систем шифрования AES256, тут применяется технология AES1024. Сами понимаете, что на расшифровку может уйти не один десяток лет, исходя из количества возможных вариантов ключа.

Полиморфные угрозы

Наконец, еще одна разновидность угроз, в которых применяется явление полиморфизма. В чем оно состоит? В том, что вирусы постоянно изменяют собственный код, причем делается это на основе так называемого плавающего ключа.

Иными словами, по маске определить угрозу невозможно, поскольку, как видим, изменяется не только ее структура на основе кода, но и ключ к расшифровке. Для борьбы с такими проблемами применяются специальные полиморфные дешифраторы (расшифровщики). Правда, как показывает практика, они способны расшифровать только самые простые вирусы. Более сложные алгоритмы, увы, в большинстве случаев их воздействию не поддаются. Отдельно стоит сказать, что изменение кода таких вирусов сопутствует созданию копий с уменьшенной их длиной, которая может отличаться от оригинала весьма существенно.

Как бороться с резидентными угрозами

Наконец, переходим к вопросу, касающемуся борьбы с резидентными вирусами и защиты компьютерных систем любого уровня сложности. Самым простым способом протекции можно считать инсталляцию штатного антивирусного пакета, вот только использовать лучше не бесплатные программы, а хотя бы условно-бесплатные (trial) версии от разработчиков вроде «Доктор Веб», «Антивирус Касперского», ESET NOD32 или программы типа Smart Security, если юзер постоянно работает с Интернетом.

Впрочем, и в этом случае никто не застрахован от того, что угроза не проникнет на компьютер. Если уж такая ситуация произошла, для начала следует применять портативные сканеры, а лучше использовать дисковые утилиты Rescue Disk. С их помощью можно произвести загрузку интерфейса программы и сканирование еще до старта основной операционной системы (вирусы могут создавать и хранить собственные копии в системной и даже в оперативной памяти).

И еще: не рекомендуется использовать программное обеспечение вроде SpyHunter, а то потом от самого пакета и его сопутствующих компонентов избавиться непосвященному пользователю будет проблематично. И, конечно же, не стоит сразу удалять зараженные файлы или пытаться форматировать винчестер. Лучше оставить лечение профессиональным антивирусным продуктам.

Заключение

Остается добавить, что выше рассмотрены только основные аспекты, касающиеся резидентных вирусов и методов борьбы с ними. Ведь если посмотреть на компьютерные угрозы, так сказать, в глобальном смысле, каждый день появляется такое огромное их количество, что разработчики средств защиты просто не успевают придумывать новые методы борьбы с такими напастями.

Файловые вирусы являются наиболее распространенной разновидностью компьютерных вирусов. Принципиально они заражают любой тип исполняемых файлов: COM, EXE, OVL и т.д. Однако основными объектами заражения являются файлы типа COM и файлы типа EXE. Наиболее просто осуществляется заражение COM-файлов, которые представляют собой почти точную копию участка памяти с загруженной программой. Единственная требуемая настройка при загрузке COM-файлов состоит в загрузке сегментных регистров значениями, соответствующими месту загрузки программы. Значительная часть COM-файлов начинается с команды перехода, обходящей содержащие в начале программы данные.

При заражении COM-файлов вирус запоминает в своем теле первые три или больше байтов программы и вместо них записывает переход на начало собственного кода. Так поступает большинство файловых вирусов, заражающих COM-файлы, но не все. Дело в том, что при дописывании тела вируса в конец заражаемого файла весь код вируса должен быть написан специальным образом, обычно называемым позиционно-независимым программированием: при выполнении программы все ссылки должны адресоваться через соответствующее смещение, которое обычно хранится в одном из регистров.

Структура файлового резидентного вируса

Файловые резидентные вирусы, помимо отдельных файлов, заражают, если так можно выразиться, и память компьютера. Предельно упрощая, память компьютера можно рассматривать как еще один файл, который можно заражать, дописываясь в голову, т.е. в область младших адресов свободного участка памяти, в хвост, т.е. в область старших адресов свободного участка памяти и наконец, в середину, т.е. в область адресов, уже используемых операционной системой или какой-нибудь программой (старшие адреса вектора прерываний, буфера и т.д.).

Вместе с тем, структура резидентного вируса существенно отличается от структуры нерезидентного вируса. Резидентный вирус можно представлять как состоящий из двух относительно независимых частей: инсталлятора и модуля обработки прерываний. Последний, в свою очередь, состоит из ряда программ обработки. Несколько упрощая, можно считать, что на каждое перехватываемое прерывание приходится своя программа обработки.

Инсталлятор получает управление при выполнении зараженной программы и играет роль своеобразной ракеты-носителя, запускающей вирус на орбиту, т.е. в оперативную память. Он отрабатывает один раз у после запуска зараженной программы и его целесообразно рассматривать как специализированный файловый вирус, заражающий оперативную память и, возможно, обычные файлы. В последнем случае инсталлятор можно рассматривать как доработанный для заражения оперативной памяти файловый вирус.

Как работает вирус

После запуска программы вирус, как правило, начинает с того, что заражает другие программы на этой машине, после чего выполняет свою "полезную" нагрузку, то есть запускает ту часть программы, для которой и писался вирус. Во многих случаях эта программа может не запускаться, пока не наступит определенная дата или пока вирус гарантированно не распространится на большое число компьютеров. Выбранная дата может даже быть привязана к какому-либо политическому событию (например, к столетию или 500-летию обиды, нанесенной этнической группе автора).

26. Методы криптографических преобразований данных.

Процесс шифрования заключается в проведении обратимых

математических, логических, комбинаторных и других преобразо-

ваний исходной информации, в результате которых зашифрован-

ная информация представляет собой хаотический набор букв,

цифр, других символов и двоичных кодов.

Для шифрования информации используются алгоритм преоб-

разования и ключ. Как правило, алгоритм для определенного ме-

тода шифрования является неизменным. Исходными данными для

алгоритма шифрования служат информация, подлежащая зашиф-

рованию, и ключ шифрования. Ключ содержит управляющую ин-

формацию, которая определяет выбор преобразования на опреде-

ленных шагах алгоритма и величины операндов, используемые

при реализации алгоритма шифрования.

В отличие от других методов криптографического преобразо-

вания информации, методы стеганографии позволяют скрыть

не только смысл хранящейся или передаваемой информации, но и

сам факт хранения или передачи закрытой информации. В ком-

пьютерных системах практическое использование стеганографии

только начинается, но проведенные исследования показывают ее

перспективность. В основе всех методов стеганографии лежит

маскирование закрытой информации среди открытых файлов. Об-

работка мультимедийных файлов в КС открыла практически не-

ограниченные возможности перед стеганографией.

Существует несколько методов скрытой передачи информа-

ции. Одним из них является простой метод скрытия файлов при

работе в операционной системе MS DOS. За текстовым открытым

файлом записывается скрытый двоичный файл, объем которого

много меньше текстового файла. В конце текстового файла поме-

щается метка EOF (комбинация клавиш Control и Z). При обраще-

нии к этому текстовому файлу стандартными средствами ОС счи-

тывание прекращается по достижению метки EOF и скрытый

файл остается недоступен. Для двоичных файлов никаких меток в

конце файла не предусмотрено. Конец такого файла определяется

при обработке атрибутов, в которых хранится длина файла в бай-

тах. Доступ к скрытому файлу может быть получен, если файл

открыть как двоичный. Скрытый файл может быть зашифрован.

Если кто-то случайно обнаружит скрытый файл, то зашифрован-

ная информация будет воспринята как сбой в работе системы.

Графическая и звуковая информация представляются в число-

вом виде. Так в графических объектах наименьший элемент изо-

бражения может кодироваться одним байтом. В младшие разряды

определенных байтов изображения в соответствии с алгоритмом

криптографического преобразования помещаются биты скрытого

файла. Если правильно подобрать алгоритм преобразования и

изображение, на фоне которого помещается скрытый файл, то че-

ловеческому глазу практически невозможно отличить полученное

изображение от исходного. Очень сложно выявить скрытую ин-

формацию и с помощью специальных программ. Наилучшим об-

разом для внедрения скрытой информации подходят изображения

местности: фотоснимки со спутников, самолетов и т. п. С помо-

щью средств стеганографии могут маскироваться текст, изобра-

жение, речь, цифровая подпись, зашифрованное сообщение. Ком-

плексное использование стеганографии и шифрования много-

кратно повышает сложность решения задачи обнаружения и рас-

крытия конфиденциальной информации.

замена смысловых конструкций исходной информации (слов,

предложений) кодами. В качестве кодов могут использоваться

сочетания букв, цифр, букв и цифр. При кодировании и обратном

преобразовании используются специальные таблицы или словари.

Кодирование информации целесообразно применять в системах с

ограниченным набором смысловых конструкций. Такой вид крип-

тографического преобразования применим, например, в команд-

ных линиях АСУ. Недостатками кодирования конфиденциальной

информации является необходимость хранения и распространения

кодировочных таблиц, которые необходимо часто менять, чтобы

избежать раскрытия кодов статистическими методами обработки

перехваченных сообщений.

Сжатие информации может быть отнесено к методам крипто-

графического преобразования информации с определенными ого-

ворками. Целью сжатия является сокращение объема информа-

ции. В то же время сжатая информация не может быть прочитана

или использована без обратного преобразования. Учитывая дос-

тупность средств сжатия и обратного преобразования, эти методы

нельзя рассматривать как надежные средства криптографического

преобразования информации. Даже если держать в секрете алго-

ритмы, то они могут быть сравнительно легко раскрыты статисти-

ческими методами обработки. Поэтому сжатые файлы конфиден-

циальной информации подвергаются последующему шифрова-

27. Классификация компьютерных вирусов по деструктивным возможностям.

По деструктивным возможностям вирусы можно разделить на следующие:

1. Базовые, т.е. никак не влияющие на работу компьютера (кроме уменьшения свободной памяти на диске в результате своего распространения).

2. Неопасные, влияние которых ограничивается уменьшением свободной памяти на диске и графически и пр. эффектами.

3. Опасные вирусы, которые могут привести к серьезным ошибкам и сбоям в работе.

4. Очень опасные, которые могут привести к потере программ, уничтожить данные, стереть необходимую для работы компьютера информацию, записанную в системных областях памяти.

Безвредные вирусы, как правило, производят различные визуальные или звуковые эффекты. Диапозон проявления безвредных вирусов очень широк – от простейшего стирания содержимого экрана до сложных эффектов переворачивания изображения, создания иллюзии «вращения» или «опадания» (например, вирус Cascade-1701).

Выполняемые вредными вирусами деструктивные функции тоже чрезвычайно разнообразны.В процессе своего распространения некоторые вирусы повреждают или искажают некоторые выполняемые программы, дописывая в начало уничтожаемой программы некий код без сохранения исходной последовательности байт. Некоторые вирусы при определенных условиях выполняют форматирование диска, точнее его нулевой дорожки, тем самым уничтожая важную информацию о хранящихся на диске файлах. Другие через определенные (как правило, случайные) промежутки времени перезагружают компьютер, приводя к потере несохраненных данных. В последнее время появилось огромное количество вирусов, направленных на борьбу с антивирусными программами. Некоторые из них при просмотре каталогов ищут программы, в именах которых имеются фрагметы, характерные для антивирусных программ (ANTI, AIDS, SCAN), и при обнаружении таковых пытаются нанести им какой-либо вред: стереть с диска, изменить код в теле программы и др.

28. Классификация компьютерных вирусов по особенностям алгоритма работы.

В соответствии с особенностями алгоритма функциониро-

вания вирусы можно разделить на два класса:

Вирусы, не изменяющие среду обитания (файлы и секто-

ры) при распространении;

Вирусы, изменяющие среду обитания при распростране-

В свою очередь, вирусы, не изменяющие среду обитания,

могут быть разделены на две группы:

вирусы-≪спутники≫ (companion);

вирусы-≪черви≫ (worm).

Вирусы-≪спутники≫ не изменяют файлы. Механизм их дейст-

вия состоит в создании копий исполняемых файлов. Например, в

MS DOS такие вирусы создают копии для файлов, имеющих рас-

ширение.ЕХЕ. Копии присваивается то же имя, что и исполняе-

мому файлу, но расширение изменяется на.СОМ. При запуске

файла с общим именем операционная система первым загружает

на выполнение файл с расширением.СОМ, который является про-

граммой-вирусом. Файл-вирус запускает затем и файл с расшире-

нием.ЕХЕ.

Вирусы-≪черви≫ попадают в рабочую станцию из сети, вычис-

ствляют передачу вируса. Вирус не изменяет файлов и не записы-

вается в загрузочные секторы дисков. Некоторые вирусы-≪черви≫

создают рабочие копии вируса на диске, другие - размещаются

только в оперативной памяти ЭВМ.

По сложности, степени совершенства и особенностям маски-

ровки алгоритмов вирусы, изменяющие среду обитания, делятся

студенческие;

≪стеле≫ - вирусы (вирусы-невидимки);

полиморфные.

К студенческим относят вирусы, создатели которых имеют

низкую квалификацию. Такие вирусы, как правило, являются не-

резидентными, часто содержат ошибки, довольно просто обнару-

живаются и удаляются.

≪Стеле≫- вирусы и полиморфные вирусы создаются квалифи-

цированными специалистами, хорошо знающими принцип работы

аппаратных средств и операционной системы, а также владеющи-

ми навыками работы с машиноориентированными системами

программирования.

≪Стелс≫-вирусы маскируют свое присутствие в среде обита-

ния путем перехвата обращений операционной системы к пора-

женным файлам, секторам и переадресуют ОС к незараженным

участкам информации. Вирус является резидентным, маскируется

под программы ОС, может перемещаться в памяти. Такие вирусы

активизируются при возникновении прерываний, выполняют оп-

ределенные действия, в том числе и по маскировке, и только за-

тем управление передается на программы ОС, обрабатывающие

эти прерывания. ≪Стеле≫- вирусы обладают способностью проти-

водействовать резидентным антивирусным средствам.

Полиморфные вирусы не имеют постоянных опознавательных

групп - сигнатур. Обычные вирусы для распознавания факта за-

ражения среды обитания размещают в зараженном объекте специ-

альную опознавательную двоичную последовательность или по-

следовательность символов (сигнатуру), которая однозначно

идентифицирует зараженность файла или сектора. Сигнатуры ис-

пользуются на этапе распространения вирусов для того, чтобы

избежать многократного заражения одних и тех же объектов, так

как при многократном заражении объекта значительно возрастает

вероятность обнаружения вируса. Для устранения демаскирую-

щих признаков полиморфные вирусы используют шифрование

тела вируса и модификацию программы шифрования. За счет та-

кого преобразования полиморфные вирусы не имеют совпадений

29. Классификация компьютерных вирусов по среде обитания.

Средой обитания сетевых вирусов являются элементы ком-

пьютерных сетей.

Файловые вирусы размещаются в исполняемых

Загрузочные вирусы находятся в загрузочных секторах

(областях) внешних запоминающих устройств (boot-секторах).

Иногда загрузочные вирусы называют бутовыми.

Макро-вирусы заражают файлы-документы и электронные таблицы нескольких популярных редакторов.

Сетевые вирусы используют для своего распространения протоколы или команды компьютерных сетей и электронной почты.

Комбинированные вирусы размещаются в нескольких средах обитания. Приме-

ром таких вирусов служат загрузочно-файловые вирусы. Эти ви-

русы могут размещаться как в загрузочных секторах накопителей

на магнитных дисках, так и в теле загрузочных файлов.

30. Общий алгоритм обнаружения вируса.

Шаг 1. Выключить ЭВМ для уничтожения резидентных виру-

Шаг 2. Осуществить загрузку эталонной операционной систе-

мы со сменного носителя информации, в которой отсутствуют

для вас файлы, которые не имеют резервных копий.

Шаг 4. Использовать антивирусные средства для удаления ви-

русов и восстановления файлов, областей памяти. Если работо-

способность ЭВМ восстановлена, то осуществляется переход к

шагу 8, иначе - к шагу 5.

Шаг 5. Осуществить полное стирание и разметку (форматиро-

вание) несъемных внешних запоминающих устройств. В ПЭВМ

для этого могут быть использованы программы MS-DOS FDISK и

FORMAT. Программа форматирования FORMAT не удаляет

главную загрузочную запись на жестком диске, в которой может

находиться загрузочный вирус . Поэтому необходимо выпол-

нить программу FDISK с недокументированным параметром

MBR, создать с помощью этой же программы разделы и логиче-

ские диски на жестком диске. Затем выполняется программа

FORMAT для всех логических дисков.

Шаг 6. Восстановить ОС, другие программные системы и

файлы с дистрибутивов и резервных копий, созданных до зараже-

Шаг 7. Тщательно проверить файлы, сохраненные после обна-

ружения заражения, и, при необходимости, удалить вирусы и вос-

становить файлы;

Шаг 8. Завершить восстановление информации всесторонней

проверкой ЭВМ с помощью всех имеющихся в распоряжении

пользователя антивирусных средств.

компьютерными вирусами, а также при умелых и своевременных

действиях в случае заражения,вирусами, ущерб информационным

ресурсам КС может быть сведен к минимуму.

31. «Вирусоподобные» программы и их характеристики.

"Троянские" программы (логические бомбы)

К "троянским" программам относятся программы, наносящие какие-либо разрушительные действия в зависимости от каких-либо условий. Например, уничтожение информации на дисках при каждом запуске или по определенному графику и т. д. Большинство известных "троянских" программ являются программами, которые маскируются под какие-либо полезные программы, новые версии популярных утилит или дополнения к ним. Очень часто они рассылаются по электронным конференциям. По сравнению с вирусами "троянские" программы не получают широкого распространения по достаточно простым причинам – они либо уничтожают себя вместе с остальными данными на диске, либо демаскируют свое присутствие и уничтожаются пострадавшим пользователем. К "троянским" программам также относятся так называемые "дропперы" вирусов – зараженные файлы, код которых подправлен таким образом, что известные версии антивирусов не определяют присутствие вируса в файле. Например, файл шифруется или упаковывается неизвестным архиватором, что не позволяет антивирусу "увидеть" заражение.

Отметим еще один тип программ (программы – "злые шутки"), которые используются для устрашения пользователя, о заражении вирусом или о каких либо предстоящих действиях с этим связанных, т. е. сообщают о несуществующих опасностях, вынуждая пользователя к активным действиям. Например, к "злым шуткам" относятся программы, которые "пугают" пользователя сообщениями о форматировании диска (хотя никакого форматирования на самом деле не происходит), детектируют вирусы в незараженных файлах, выводят странные вирусоподобные сообщения и т. д. К категории "злых шуток" можно отнести также заведомо ложные сообщения о новых "супер-вирусах". Такие сообщения периодически появляются в Интернете и обычно вызывают панику среди пользователей.

^ 2.3.4. Утилиты скрытого администрирования

Утилиты скрытого администрирования являются разновидностью "логических бомб" ("троянских программ"), которые используются злоумышленниками для удаленного администрирования компьютеров в сети. По своей функциональности они во многом напоминают различные системы администрирования, разрабатываемые и распространяемые различными фирмами-производителями программных продуктов. Единственная особенность этих программ заставляет классифицировать их как вредные "троянские" программы: отсутствие предупреждения об инсталляции и запуске. При запуске такая программа устанавливает себя в систему и затем следит за ней, при этом пользователю не выдается никаких сообщений о действиях программы в системе. Чаще всего ссылка на такую программу отсутствует в списке активных приложений. В результате пользователь может и не знать о ее присутствии в системе, в то время как его компьютер открыт для удаленного управления.

Внедренные в операционную систему утилиты скрытого управления позволяют делать с компьютером все, что в них заложил их автор: принимать/отсылать файлы, запускать и уничтожать их, выводить сообщения, стирать информацию, перезагружать компьютер и т. д. В результате эти программы могут быть использованы для обнаружения и передачи конфиденциальной информации, для запуска вирусов, уничтожения данных и т. п.

"Intended"-вирусы

К таким вирусам относятся программы, которые, на первый взгляд, являются стопроцентными вирусами, но не способны размножаться по причине ошибок. Например, вирус, который при заражении не помещает в начало файла команду передачи управления на код вируса, либо записывает в нее неверный адрес своего кода, либо неправильно устанавливает адрес перехватываемого прерывания (в большинстве приводит к "зависанию" компьютера) и т. д. К категории "intended" также относятся вирусы, которые по приведенным выше причинам размножаются только один раз – из "авторской" копии. Заразив какой-либо файл, они теряют способность к дальнейшему размножению. Появляются "intended"-вирусы чаще всего из-за неумелой перекомпиляции какого-либо уже существующего вируса, либо по причине недостаточного знания языка программирования, либо по причине незнания технических тонкостей операционной системы.

^ Конструкторы вирусов

К данному виду "вредных" программ относятся утилиты, предназначенные для изготовления новых компьютерных вирусов. Известны конструкторы вирусов для DOS, Windows и макровирусов. Они позволяют генерировать исходные тексты вирусов, объектные модули, и/или непосредственно зараженные файлы. Некоторые конструкторы снабжены стандартным оконным интерфейсом, где при помощи системы меню можно выбрать тип вируса, поражаемые объекты (COM и/или EXE), наличие или отсутствие самошифровки, противодействие отладчику, внутренние текстовые строки, выбрать эффекты, сопровождающие работу вируса и т. п.

^ Полиморфные генераторы

Полиморфик-генераторы, как и конструкторы вирусов, не являются вирусами в прямом смысле этого слова, поскольку в их алгоритм не закладываются функции размножения, т. е. открытия, закрытия и записи в файлы, чтения и записи секторов и т. д. Главной функцией подобного рода программ является шифрование тела вируса и генерация соответствующего расшифровщика. Обычно полиморфные генераторы распространяются в виде файла-архива. Основным файлом в архиве любого генератора является объектный модуль, содержащий этот генератор.

32. Основные правила защиты от компьютерных вирусов.

Правило первое. Использование программных продуктов, по-

лученных законным официальным путем.

Вероятность наличия вируса в пиратской копии во много раз

выше, чем в официально полученном программном обеспечении.

Правило второе. Дублирование информации.

Прежде всего, необходимо сохранять дистрибутивные носите-

ли программного обеспечения. При этом запись на носители, до-

пускающие выполнение этой операции, должна быть, по возмож-

ности, заблокирована. Следует особо позаботиться о сохранении

рабочей информации. Предпочтительнее регулярно создавать ко-

пии рабочих файлов на съемных машинных носителях информа-

ции с защитой от записи. Если создается копия на несъемном но-

сителе, то желательно ее создавать на других ВЗУ или ЭВМ. Ко-

пируется либо весь файл, либо только вносимые изменения. По-

следний вариант применим, например, при работе с базами дан-

Правило третье. Регулярно использовать антивирусные

средства. Перед началом работы целесообразно выполнять про-

граммы-сканеры и программы-ревизоры (Aidstest и Adinf). Анти-

вирусные средства должны регулярно обновляться.

Правило четвертое. Особую осторожность следует прояв-

лять при использовании новых съемных носителей информации и

новых файлов. Новые дискеты обязательно должны быть прове-

рены на отсутствие загрузочных и файловых вирусов, а получен-

ные файлы - на наличие файловых вирусов. Проверка осуществ-

ляется программами-сканерами и программами, осуществляющи-

ми эвристический анализ (Aidstest, Doctor Web, AntiVirus). При

первом выполнении исполняемого файла используются резидент-

ные сторожа. При работе с полученными документами и таблица-

ми целесообразно запретить выполнение макрокоманд средства-

ми, встроенными в текстовые и табличные редакторы (MS Word,

MS Excel), до завершения полной проверки этих файлов.

Правило пятое. При работе в распределенных системах или в

системах коллективного пользования целесообразно новые смен-

ные носители информации и вводимые в систему файлы прове-

рять на специально выделенных для этой цели ЭВМ. Целесооб-

разно для этого использовать автоматизированное рабочее место

администратора системы или лица, отвечающего за безопасность

информации. Только после всесторонней антивирусной проверки

дисков и файлов они могут передаваться пользователям системы.

Правило шестое. Если не предполагается осуществлять за-

пись информации на носитель, то необходимо заблокировать вы-

полнение этой операции. На магнитных дискетах 3,5 дюйма для

этого достаточно открыть квадратное отверстие.

зволяет значительно уменьшить вероятность заражения про-

граммными вирусами и защищает пользователя от безвозвратных

потерь информации.

В особо ответственных системах для борьбы с вирусами необ-

ходимо использовать аппаратно-программные средства.

33. Антивирусные программы и их классификации.

Для обнаружения, удаления и защиты от компьютерных вирусов существуют специальные программы, которые называются антивирусными. Современные антивирусные программы представляют собой многофункциональные продукты, сочетающие в себе как профилактические средства, так и средства лечения вирусов и восстановления данных. Количество и разнообразие вирусов велико, и чтобы их быстро и эффективно обнаружить, антивирусная программа должна отвечать некоторым параметрам:

· Стабильность и надежность работы.

· Размеры вирусной базы программы (количество вирусов, которые правильно определяются программой): с учетом постоянного появления новых вирусов база данных должна регулярно обновляться.

· Возможность программы определять разнообразные типы вирусов, и умение работать с файлами различных типов (архивы, документы).

· Наличие резидентного монитора, осуществляющего проверку всех новых файлов “на лету” (то есть автоматически, по мере их записи на диск).

· Скорость работы программы, наличие дополнительных возможностей типа алгоритмов определения даже неизвестных программе вирусов (эвристическое сканирование).

· Возможность восстанавливать зараженные файлы, не стирая их с жесткого диска, а только удалив из них вирусы.

· Процент ложных срабатываний программы (ошибочное определение вируса в “чистом” файле).

· Кроссплатформенность (наличие версий программы под различные операционные системы).

Классификация антивирусных программ:

Программы-детекторы обеспечивают поиск и обнаружение вирусов в оперативной памяти и на внешних носителях, и при обнаружении выдают соответствующее сообщение.

Различают детекторы:

· универсальные - используют в своей работе проверку неизменности файлов путем подсчета и сравнения с эталоном контрольной суммы

· специализированные - выполняют поиск известных вирусов по их сигнатуре (повторяющемуся участку кода). Недостаток таких детекторов состоит в том, что они неспособны обнаруживать все известные вирусы.

Детектор, позволяющий обнаруживать несколько вирусов, называют полидетектором. Недостатком таких антивирусных про грамм является то, что они могут находить только те вирусы, которые известны разработчикам таких программ.

Программы-доктора (фаги) не только находят зараженные вирусами файлы, но и "лечат" их, т.е. удаляют из файла тело программы вируса, возвращая файлы в исходное состояние. В начале своей работы фаги ищут вирусы в оперативной памяти, уничтожая их, и только затем переходят к "лечению" файлов. Среди фагов выделяют полифаги, т.е. программы-доктора, предназначенные для поиска и уничтожения большого количества вирусов. Учитывая, что постоянно появляются новые вирусы, программы-детекторы и программы-доктора быстро устаревают, и требуется регулярное обновление их версий.

Программы-ревизоры относятся к самым надежным средствам защиты от вирусов. Ревизоры запоминают исходное состояние программ, каталогов и системных областей диска тогда, когда компьютер не заражен вирусом, а затем периодически или по желанию пользователя сравнивают текущее состояние с исходным. Обнаруженные изменения выводятся на экран монитора. Как правило, сравнение состояний производят сразу после загрузки операционной системы. При сравнении проверяются длина файла, код циклического контроля (контрольная сумма файла), дата и время модификации, другие параметры.

Программы-фильтры (сторожа) представляют собой небольшие резидентные программы, предназначенные для обнаружения подозрительных действий при работе компьютера, характерных для вирусов.

Такими действиями могут являться:

· попытки коррекции файлов с расширениями СОМ и ЕХЕ;

· изменение атрибутов файлов;

· прямая запись на диск по абсолютному адресу;

· запись в загрузочные сектора диска;

При попытке какой-либо программы произвести указанные действия "сторож" посылает пользователю сообщение и предлагает запретить или разрешить соответствующее действие. Программы-фильтры весьма полезны, так как способны обнаружить вирус на самой ранней стадии его существования до размножения. Однако они не "лечат" файлы и диски. Для уничтожения вирусов требуется применить другие программы, например фаги. К недостаткам программ-сторожей можно отнести их "назойливость" (например, они постоянно выдают предупреждение о любой попытке копирования исполняемого файла), а также возможные конфликты с другим программным обеспечением.

Программы-вакцины (иммунизаторы) - это резидентные программы, предотвращающие заражение файлов. Вакцины применяют, если отсутствуют программы-доктора, "лечащие" этот вирус. Вакцинация возможна только от известных вирусов. Вакцина модифицирует программу или диск таким образом, чтобы это не отражалось на их работе, а вирус будет воспринимать их зараженными и поэтому не внедрится. Существенным недостатком таких программ является их ограниченные возможности по предотвращению заражения от большого числа разнообразных вирусов.

Существует большое количество платных и бесплатных антивирусных программ. Среди платных можно выделить следующие популярные торговые марки: Symantec McAfee Dr.Web Лаборатория Касперского ESET Nod32 Trend Micro BitDefender

Среди бесплатных: AntiVir (Avira) Avast! AVG Comodo

34. Проблемы зашиты информации от вирусов в Internet.

Проблема №1. Количество и разнообразие вредоносных программ неуклонно растет год за годом. В результате многие антивирусные компании просто не в состоянии угнаться за этим потоком, они проигрывают в вирусной «гонке вооружений», а пользователи этих программ оказываются защищены далеко не от всех современных компьютерных угроз. Увы, продукты далеко не всех антивирусных компаний можно назвать действительно антивирусными.

Проблема №2.

Скорость распространения современных вредоносных программ заставляет антивирусные компании выпускать защитные обновления как можно чаще - чтобы максимально быстро прикрыть своих пользователей от новоявленного компьютерного «зверя». Увы, далеко не все антивирусные компании достаточно расторопны. Часто обновления от таких компаний доставляются пользователям слишком поздно.

Проблема №3. Удаление обнаруженного вредоносного кода из зараженной системы. Часто вирусы и троянские программы предпринимают специальные действия, чтобы скрыть факт своего присутствия в системе, или встраиваются в нее так глубоко, что задача его «выковыривания» становится достаточно нетривиальной. К сожалению, иногда антивирусные программы не в состоянии благополучно и без всяких побочных последствий изъять вирусный код и полностью восстановить работоспособность системы.

Проблема №4. Целесообразность потребления ресурсов компьютера. Проблема не решаемая - как показывает практика, все самые «скорострельные» антивирусы очень сильно «дырявы» и пропускают вирусы и троянские программы, как дуршлаг воду. Обратное неверно: далеко не все «тормознутые» антивирусы защищают вас достаточно хорошо.

Проблема №5. Технологическая исключительность, т.е. несовместимость различных антивирусных программ между собой. В подавляющем большинстве случаев (за редкими исключениями) установить два различных антивируса на один компьютер (чтобы обеспечить двойную защиту) невозможно по техническим причинам, и они просто не уживаются друг с другом.

35. Концепция правового обеспечения информационной безопасности Российской Федерации.

В соответствии с Законом о безопасности и содержанием Концепции национальной безопасности РФ под информационной безопасностью будем понимать состояние защищенности жизненно важных интересов личности, общества и государства в информационной сфере.

Совокупность официальных взглядов на цели, задачи, принципы и основные направления обеспечения информационной безопасности Российской Федерациипредставлена в Доктрине информационной безопасности РФ.

На основе анализа положений, содержащихся в доктринальных и нормативных правовых документах, можно выделить следующие жизненно важные интересы в информационной сфере:

а) для личности:

соблюдение и реализация конституционных прав и свобод человека и гражданина на поиск, получение, передачу, производство и распространение объективной информации;

реализация права граждан на неприкосновенность частной жизни, защита информации, обеспечивающей личную безопасность;

использование информации в интересах не запрещенной законом деятельности, физического, духовного и интеллектуального развития;

защита права на объекты интеллектуальной собственности;

обеспечение права граждан на защиту своего здоровья от неосознаваемой человеком вредной информации;

б) для общества:

обеспечение интересов личности в информационной сфере;

построение правового социального государства;

упрочение демократии, построение информационного общества;

духовное обновление общества, сохранение его нравственных ценностей, утверждение в обществе идеалов высокой нравственности, патриотизма и гуманизма, развитие многовековых духовных традиций Отечества, пропаганда национального культурного наследия, норм морали и общественной нравственности;

достижение и поддержание общественного согласия;

предотвращение манипулирования массовым сознанием;

приоритетное развитие современных телекоммуникационных технологий, сохранение и развитие отечественного научного и производственного потенциала;

в) для государства:

создание условий для реализации интересов личности и общества в информационной сфере и их защита;

формирование институтов общественного контроля за органами государственной власти;

безусловное обеспечение законности и правопорядка;

создание условий для гармоничного развития российской информационной инфраструктуры;

формирование системы подготовки, принятия и реализации решений органами государственной власти, обеспечивающей баланс интересов личности, общества и государства;

защита государственных информационных систем и государственных информационных ресурсов, в том числе государственной тайны;

защита единого информационного пространства страны;

развитие равноправного и взаимовыгодного международного сотрудничества.

К основным задачам в области обеспечения информационной безопасности относятся:

формирование и реализация единой государственной политики по обеспечению защиты национальных интересов от угроз в информационной сфере, реализация конституционных прав и свобод граждан в сфере информационной деятельности;

разработка и создание механизмов формирования и реализации государственной информационной политики России, в том числе разработка методов повышения эффективности участия государства в формировании информационной политики государственных телерадиовещательных организаций, других государственных средств массовой информации;

совершенствование законодательства Российской Федерации в области обеспечения информационной безопасности;

определение полномочий органов государственной власти Российской Федерации, субъектов Российской Федерации, органов местного самоуправления и ответственности их должностных лиц, юридических лиц и граждан в области обеспечения информационной безопасности;

развитие и совершенствование системы обеспечения информационной безопасности Российской Федерации, реализующей единую государственную политику в этой области, включая совершенствование форм, методов и средств выявления, оценки и прогнозирования угроз информационной безопасности Российской Федерации, а также системы противодействия этим угрозам;

координация деятельности органов государственной власти по обеспечению информационной безопасности;

совершенствование и защита отечественной информационной инфраструктуры, ускорение развития новых информационных технологий и их широкое распространение, унификация средств поиска, сбора, хранения, обработки и анализа информации с учетом вхождения России в глобальную информационную инфраструктуру;

проведение единой технической политики в области обеспечения информационной безопасности Российской Федерации; разработка критериев и методов оценки эффективности систем и средств обеспечения информационной безопасности Российской Федерации, а также сертификации этих систем и средств; развитие стандартизации информационных систем на базе общепризнанных международных стандартов и их внедрение для всех видов информационных систем;

обеспечение технологической независимости Российской Федерации, развитие отечественной индустрии телекоммуникационных и информационных средств, их приоритетное по сравнению с зарубежными аналогами распространение на внутреннем рынке;

развитие научно-практических основ обеспечения информационной безопасности Российской Федерации с учетом современной геополитической ситуации, условий политического и социально-экономического развития России и реальности угроз применения "информационного оружия";

разработка современных методов и средств защиты информации, обеспечения безопасности информационных технологий, прежде всего, используемых в системах управления войсками и оружием, экологически опасными и экономически важными производствами;

создание и развитие современной защищенной технологической основы управления государством в мирное время, в чрезвычайных ситуациях и в военное время;

защита государственных информационных ресурсов, прежде всего в федеральных органах государственной власти, на предприятиях оборонного комплекса, в том числе государственной тайны;

создание условий для успешного развития негосударственного компонента в сфере обеспечения информационной безопасности, осуществления эффективного гражданского контроля за деятельностью органов государственной власти;

защиты культурного и исторического наследия (в том числе музейных, архивных, библиотечных фондов, основных историко-культурных объектов);

сохранение традиционных духовных ценностей при важнейшей роли Русской православной церкви и церквей других конфессий;

пропаганда средствами массовой информации элементов национальных культур народов России, духовно-нравственных, исторических традиций, норм общественной жизни и передового опыта подобной пропагандистской деятельности;

повышение роли русского языка как государственного языка и языка межгосударственного общения народов России и государств - участников СНГ;

создание оптимальных социально-экономических условий для осуществления важнейших видов творческой деятельности и функционирования учреждений культуры;

противодействие угрозе развязывания противоборства в информационной сфере;

создание единой системы подготовки кадров в области обеспечения информационной безопасности;

организация международного сотрудничества по обеспечению информационной безопасности при интеграции России в мировое информационное пространство на условиях равноправного партнерства.

Представляется, что юридическая наука в той или иной мере должна принимать участие в решении всех задач и реализации соответствующих целей, однако ее приоритет просматривается в двух областях:

во-первых, в определении разумного баланса между правом субъектов на свободное получение информации путем ее сбора или доступа к имеющимся ресурсам и правом субъектов на установление ограничений в указанных действиях со стороны иных лиц по отношению к сведениям, обладателями которых они являются,

во-вторых, в разработке и реализации правовых мер защиты информации, доступ к которой должен ограничиваться по правомерным основаниям, а также в обеспечении сохранности информационных ресурсов.

36. Государственная система обеспечения информационной безопасности.

Структура и основные функции государственной системы защиты информации от ее утечки по техническим каналам и организация работ по защите информации определены в "Положении о государственной системе защиты информации в Российской Федерации от иностранных технических разведок и от ее утечки по техническим каналам", утвержденном Постановлением Правительства от 15 сентября 1993 г. № 912-51.

Этим Положением предусматривается, что мероприятия по защите информации, обрабатываемой техническими средствами, являются составной частью управленческой, научной и производственной деятельности учреждений и предприятий и осуществляются во взаимосвязи с другими мерами по обеспечению установленного федеральными законами "Об информации, информатизации и защите информации" и "О государственной тайне" комплекса мер по защите сведений, составляющих государственную и служебную тайну.

В то же время эти мероприятия являются составной частью работ по созданию и эксплуатации систем информатизации учреждений и предприятий, располагающих такой информацией, и должны осуществляться в установленном нормативными документами » порядке в виде системы защиты секретной информации.

Основные задачи государственной системы защиты информации:

Проведение единой технической политики, организация и координация работ по защите информации в оборонной, экономической, политической, научно-технической и других сферах деятельности;

Исключение или существенное затруднение добывания информации техническими средствами разведки, а также предотвращение ее утечки по техническим каналам, несанкционированного доступа к ней, предупреждение преднамеренных специальных программно-технических воздействий на информацию с целью ее разрушения, уничтожения, искажения или блокирования в процессе обработки, передачи и хранения;

Принятие в пределах компетенции нормативно-правовых актов, регулирующих отношения в области защиты информации;

Общая организация сил, создание средств защиты информации и средств контроля эффективности ее защиты;

Контроль за проведением работ по защите информации в органах государственного управления, объединениях, на предприятиях, в организациях и учреждениях (независимо от форм собственности).

В соответствии с Указом Президента Российской Федерации № 212 от 19,02.99 г., межотраслевую координацию и функциональное регулирование деятельности по обеспечению защиты (некриптографическими методами) информации, содержащей сведения, составляющие государственную и служебную тайну, осуществляет коллегиальный орган - Государственная техническая комиссия при Президенте Российской Федерации (Гостехкомиссии России).

В соответствии с Законом Российской Федерации "О федеральных органах правительственной связи и информации", к основным функциям Федерального агентства правительственной связи и информации при Президенте Российской Федерации (ФАПСИ) в рассматриваемой области относится:

Осуществление координации деятельности по вопросам безопасности информационно-аналитических сетей, комплексов технических средств баз данных;

Осуществление координации деятельности в области разработки, производства и поставки шифровальных средств и оборудования специальной связи, по обеспечению криптографической и инженерно-технической безопасности шифрованной связи.

Федеральным законом от 03.04.95 г. N 40-ФЗ "Об органах Федеральной службы безопасности в Российской Федерации" к компетенции ФСБ в рассматриваемой области отнесены следующие вопросы:

Участие в разработке и реализации мер по защите сведений, составляющих государственную тайну;

Осуществление контроля за обеспечением сохранности сведений, составляющих государственную тайну, в государственных органах, воинских формированиях, на предприятиях, в учреждениях и организациях независимо от форм собственности;

Под термином "резидентность" (DOS"овский термин TSR - Terminate and Stay Resident) понимается способность вирусов оставлять свои копии в системной памяти, перехватывать некоторые события (например, обращения к файлам или дискам) и вызывать при этом процедуры заражения обнаруженных объектов (файлов и секторов). Таким образом, резидентные вирусы активны не только в момент работы зараженной программы, но и после того, как программа закончила свою работу. Резидентные копии таких вирусов остаются жизнеспособными вплоть до очередной перезагрузки, даже если на диске уничтожены все зараженные файлы. Часто от таких вирусов невозможно избавиться восстановлением всек копий файлов с дистрибутивных дисков или backup-копий. Резидентная копия вируса остается активной и заражает вновь создаваемые файлы. То же верно и для загрузочных вирусов - форматирование диска при наличии в памяти резидентного вируса не всегда вылечивает диск, поскольку многие резидентные вирусы заражает диск повторно после того, как он отформатирован.

Нерезидентные вирусы.

Нерезидентные вирусы, напротив, активны довольно непродолжительное время - только в момент запуска зараженной программы. Для своего распространения они ищут на диске незараженные файлы и записываются в них. После того, как код вируса передает управление программе-носителю, влияние вируса на работу операционной системы сводится к нулю вплоть до очередного запуска какой-либо зараженной программы. Поэтому файлы, зараженные нерезидентными вирусами значительно проще удалить с диска и при этом не позволить вирусу заразить их повторно.

Стелс-вирусы

Стелс-вирусы теми или иными способами скрывают факт своего присутствия в системе..

Использование стелс-алгоритмов позволяет вирусам полностью или частично скрыть себя в системе. Наиболее распространенным стелс-алгоритмом является перехват запросов OC на чтение/запись зараженных объектов. Стелс-вирусы при этом либо временно лечат их, либо «подставляют» вместо себя незараженные участки информации. В случае макро-вирусов наиболее популярный способ - запрет вызовов меню просмотра макросов. Известны стелс-вирусы всех типов, за исключением Windows-вирусов - загрузочные вирусы, файловые DOS-вирусы и даже макро-вирусы. Появление стелс-вирусов, заражающих файлы Windows, является скорее всего делом времени

Полиморфик-вирусы

Самошифрование и полиморфичность используются практически всеми типами вирусов для того, чтобы максимально усложнить процедуру детектирования вируса. Полиморфик - вирусы (polymorphic) - это достаточно трудно обнаружимые вирусы, не имеющие сигнатур, т.е. не содержащие ни одного постоянного участка кода. В большинстве случаев два образца одного и того же полиморфик-вируса не будут иметь ни одного совпадения. Это достигается шифрованием основного тела вируса и модификациями программы-расшифровщика.

К полиморфик-вирусам относятся те из них, детектирование которых невозможно (или крайне затруднительно) осуществить при помощи так называемых вирусных масок - участков постоянного кода, специфичных для конкретного вируса. Достигается это двумя основными способами - шифрованием основного кода вируса с непостоянным ключем и случаным набором команд расшифровщика или изменением самого выполняемого кода вируса. Полиморфизм различной степени сложности встречается в вирусах всех типов - от загрузочных и файловых DOS-вирусов до Windows-вирусов.

По среде обитания вирусы можно разделить на:

файловые;

загрузочные;

Большинство пользователей персональных компьютеров наверняка хоть раз в жизни сталкивались с таким понятием, как компьютерный вирус. Правда не многие пользователи знают, что классификация угроз состоит из двух больших категорий, а именно резидентные и нерезидентные вирусы. Более подробно остановимся на первом классе вирусов, так как именно их представители являются наиболее опасными, а иногда и неудаляемыми даже при форматировании логического раздела или диска.

Резидентные вирусы: что они собой представляют?

Итак, с чем же пользователю предстоит иметь дело? Для упрощенного объяснения структуры и принципов работы данных вирусов необходимо остановится на том, что вообще собой представляет резидентная программа. Считается, что к данному типу программ относятся приложения, которые постоянно работают в режиме мониторинга, не проявляя своих действий. К такому типу программ можно отнести штатные антивирусы. Что же касается угроз, которые могут проникнуть в компьютерные системы, то они не только могут постоянно висеть в памяти персонального компьютера, но и создают свои копии. Таким образом, получается, что копии вирусов постоянно следят за системой и перемещаются по ней. Это существенно затрудняет поиск таких объектов. Некоторые угрозы даже способны менять свою структуру. Детектирование таких угроз на основе общепринятых методов становится практически невозможным. Немного позже мы попробуем рассмотреть, как можно избавиться от вирусов такого типа. Пока остановимся на основных разновидностях резидентный угроз.

DOS угрозы

Изначально, когда операционных систем UNIX и Windows еще не существовало, а общение пользователя с персональным компьютером происходило на уровне команд, существовала операционная система DOS. На пике популярности эта операционная система продержалась достаточно долго. Именно для таких систем начали создаваться резидентные и нерезидентные вирусы. Их действие сначала было направлено на нарушение работоспособности системы и удаление пользовательских папок и файлов. Принцип действия данных угроз широко применяется до сих пор. Он состоит в том, что вредоносные объекты перехватывают обращения к файлам, а затем заражают вызываемые объекты. Большинство угроз, известных на сегодняшний день, работают именно по такому принципу. Проникают в систему вирусы либо посредством создания резидентного модуля, выполненного в виде драйвера, который указывается в файле системной конфигурации Config.sys, либо при использовании специальной функции KEEP для отслеживания прерываний. В том случае, когда резидентные вирусы данного типа используют выделение под себя областей системной памяти, дела обстоят намного хуже. Получается примерно следующая ситуация: вирус сначала «отрезает» кусок свободной памяти, а тем помечает данную область как занятую. После этого он сохраняет в ней свою копию. Печальнее всего то, что копии могут находится в видеопамяти, областях, зарезервированных под буфер обмена и в таблицах векторов прерываний, а также в рабочих областях DOS. Это делает копии вирусных угроз невероятно живучими. В отличие от нерезидентных вирусов, которые работают только тогда, когда запущена какая-то программа или операционная система, данный тип угроз способен активироваться всякий раз после перезагрузки компьютера. Кроме того, вирус при обращении к зараженному объекту способен создавать собственную копию и в оперативной памяти. В результате пользователь сталкивается с моментальным зависанием компьютера. Должно быть уже ясно, что лечение вирусов данного типа осуществляется при помощи специальных сканеров. Желательно использовать для это цели не стационарные антивирусные программы, а портативные, которые способны загружаться с USB-носителей или оптических дисков. Об этом речь пойдет несколько позднее.

Загрузочные угрозы

Загрузочные угрозы могут проникнуть в систему по схожему методу. Ведут они себя утонченно: сначала съедают кусок системной памяти, а затем прописывают туда собственный код в виде копии, а после этого начинают требовать перезагрузку. Это может привести к негативным последствиям, так как после перезагрузки вирус восстанавливает уменьшенный объем памяти до исходного размера, а его копия оказывается вне системной памяти. Помимо отслеживания прерываний такие вирусы также могут прописывать собственные коды в загрузочном секторе – запись MBR. Перехваты DOSиBIOS используются несколько реже. Сами вирусы могут загружаться однократно и при этом проверяют наличие собственной копии.

Вирусы под операционную систему Windows

С появлением операционных систем типа Windows разработки вирусов, к сожалению, вышли на качественно новый уровень. Сегодня именно операционная система Windows любой версии считается наиболее уязвимой несмотря на усилия, которые прилагают специалисты компании Microsoft в области разработки модулей безопасности. Те вирусы, которые рассчитаны на операционную систему Windows, работают по принципам, схожим с DOS угрозами. Однако способов проникновения угроз на компьютер в данном случае намного больше. Из наиболее распространенных способов можно выделить три основных, по которым вирус в системе может прописать собственный код: это регистрация вируса как приложения, работающего в данный момент, выделение блока памяти и запись в него собственной копии, работа в системе под видом драйвера VxD, маскировка под драйвер WindowsNT. Зараженные области системной памяти или файлы можно попробовать вылечить стандартными методами, которые используются в различных антивирусных сканерах. Это такие методы, как детектирование по маске вируса, сравнение с базами сигнатур и т.д. Однако в том случае, если используются простые бесплатные программы, они могут и не определить вирус, а иногда даже выдают ложное срабатывание. Лучше использовать портативные антивирусные утилиты вроде Dr. Web или продукты «Лаборатории Касперского». Сегодня можно найти достаточно количество утилит данного типа.

Макро-вирусы

Существует еще одна разновидность вирусных угроз – это макро-вирусы. Данное название происходит от слова «макрос», которым обозначается исполняемый апплет или надстройка, используемая в некоторых редакторах. Неудивительно, что запуск данного вируса может происходить в момент старта программы, открытия или печати офисного документа, вызова различных пунктов меню. Такие угрозы в виде системных макросов хранятся в памяти компьютера в течение всего времени работы редактора. Однако, если рассматривать вопрос об удалении вирусов такого типа в целом, то решение оказывается довольно простым. В некоторых случаях может помочь даже отключение определенных настроек или выполнение макросов в самом редакторе. Также эффективным может оказаться задействование антивирусной защиты апплетов, и это не говоря уже о простом быстром сканировании системы при помощи антивирусных пакетов программ.

Вирус на базе технологии «стелс»

Рассмотрим теперь маскирующиеся вирусы. Они не зря получили свое название в честь самолета-невидимки. Суть функционирования данных объектов состоит в том, что они выдают себя за системный компонент. Определить их обычными способами в некоторых случаях бывает очень сложно. К таким угрозам можно отнести макровирусы, загрузочные угрозы и вирусы DOS. Считается, что стелс-вирусы для операционной системы Windowsна данный момент пока еще не разработаны, однако многие специалисты в области информационных технологий утверждают, что это только вопрос времени.

Файловые разновидности

Все вирусы вообще можно назвать файловыми, так как они в той или иной степени воздействуют на файлы и затрагивают файловую системы, заражая ее собственным кодом или шифруя, делая недоступной по причине удаления или порчи. В качестве наиболее простых примеров можно привести современные вирусы-шифровальщики, а также известный вирус ILOVEYOU. С ними без использования специальных расшифровочных ключей лечение данного типа вирусов выполнить будет не просто сложно, а зачастую вообще невозможно. Здесь бессильны даже ведущие разработчики антивирусного программного обеспечения. В отличие от современных систем шифрования AES256 в данном типе вирусов используется технология AES1024. Как вы сами можете догадаться, на расшифровку зараженных файлов может уйти не один десяток лет, в зависимости от числа возможных вариантов ключа.

Полиморфные угрозы

Еще одной разновидностью угроз являются полиморфные угрозы. В чем же состоит проявление полиморфизма? Дело в том, что вирусы могут постоянно изменять собственный код. Делается это на основе так называемого плавающего ключа. Иначе говоря, угрозу невозможно определить по маске, так как изменяется не только ее структура, которая лежит в основе кода, но и сам ключ к расшифровке. Чтобы бороться с такими угрозами, необходимо использовать специальные полиморфные дешифраторы. Практика показывает, что данные объекты способны расшифровать только самые простые вирусы. Более сложные алгоритмы их воздействую в большинстве случаев просто не поддаются. Стоит отдельно отметить, что изменение кода таких вирусов сопутствует созданию копий с уменьшенной длиной, которая весьма существенно отличается от оригинала.

Способы борьбы с резидентными угрозами

Переходим к вопросу, который касается способов борьбы с резидентными угрозами, а также защиты ПК от угроз любого уровня сложности. Самым простым способом защиты персонального компьютера является установка штатного антивирусного пакета. Лучше использовать для этой цели не бесплатные программы, а хотя бы условно-бесплатные версии от таких разработчиков какDr.Web, Kaspersky, ESETNOD 32 или программы вроде SmartSecurity. Впрочем, даже в этом случае вы не будете застрахованы от проникновения угрозы на компьютер. Если подобная ситуация произошла, для начала рекомендуется применить портативные сканеры, а еще лучше использовать дисковые утилиты RescueDisk. При помощи таких инструментов можно выполнить загрузку интерфейса программы и запустить сканирование еще до старта основной операционной системы. Не рекомендуется использовать программные пакеты типа SpyHunter. Непосвященному пользователю потом будет проблематично избавляться от самого пакета и его сопутствующих компонентов. Также не стоит сразу пытаться удалить зараженные файлы и форматировать жесткий диск. Лечение лучше доверить специальным антивирусным программам.

Итоги

В заключение хотелось бы добавить, что в данном обзоре были рассмотрены только основные аспекты, которые касаются резидентных вирусов и способов борьбы с ними. Ведь если рассматривать различные компьютерные угрозы, то можно сказать, что каждый день появляется огромное число таких объектов. Разработчики средств защиты просто не успевают придумывать новые методы борьбы с данными объектами.

Компьютерным вирусом называется программа, которая обладает способностью создавать свои копии, и внедрять их в различные объекты и ресурсы компьютерных систем, сетей и т.д. без ведома пользователя. При этом копии сохраняют способность дальнейшего распространения.

Заражение программы, как правило, выполняется таким образом, чтобы вирус получил управление раньше самой программы. Для этого он либо встраивается в начало программы, либо имплантируется в ее тело так, что первой командой зараженной программы является безусловный переход на компьютерный вирус, текст которого заканчивается аналогичной командой безусловного перехода на команду вирусоносителя, бывшую первой до заражения. Получив управление, вирус выбирает следующий файл, заражает его, возможно, выполняет какие-либо другие действия, после чего отдает управление вирусоносителю.

Первичное заражение происходит в процессе наступления инфицированных программ из памяти одной машины в память другой, причем в качестве средства перемещения этих программ могут использоваться как носители информации (оптические диски, флэш-память и т.п.), так и каналы вычислительных сетей. Вирусы, использующие для размножения сетевые средства, сетевые протоколы, управляющие команды компьютерных сетей и электронной почты, принято называть сетевыми.

Цикл жизни вируса обычно включает следующие периоды: внедрение, инкубационный, репликации (саморазмножения) и проявления. В течение инкубационного периода вирус пассивен, что усложняет задачу его поиска и нейтрализации. На этапе проявления вирус выполняет свойственные ему целевые функции, например необратимую коррекцию информации в компьютере или на внешних носителях.

Физическая структура компьютерного вируса достаточно проста. Он состоит из головы и, возможно, хвоста. Под головой вируса понимается его компонента, получающая управление первой. Хвост – это часть вируса, расположенная в тексте зараженной программы отдельно от головы. Вирусы, состоящие из одной головы, называют несегментированными , тогда как вирусы, содержащие голову и хвост, — сегментированными .

Наиболее существенные признаки компьютерных вирусов позволяют провести следующую их классификацию.

Существует несколько подходов к классификации компьютерных вирусов по их характерным особенностям:

— по среде обитания вируса;

— по способу заражения;

— по деструктивным возможностям;

— по особенностям алгоритма работ.

По среде обитания вирусы подразделяются на:

Файловые вирусы — вирусы поражающие исполняемые файлы, написанные в различных форматах. Соответственно в зависимости от формата, в котором написана программа это будут EXE или COM вирусы.

Загрузочные вирусы — вирусы поражающие загрузочные сектора (Boot сектора) дисков или сектор содержащий системный загрузчик(Master Boot Record) винчестера.

Сетевые вирусы — вирусы, распространяющиеся в различных компьютерных сетях и системах.

Макро вирусы — вирусы поражающие файлы Microsoft Office

Flash вирусы — вирусы поражающие микросхемы FLASH памяти BIOS.

По способу заражения вирусы делятся на:

Резидентные вирусы — вирусы, которые при инфицировании компьютера оставляют свою резидентную часть в памяти. Они могут перехватывать прерывания операционной системы, а также обращения к инфицированным файлам со стороны программ и операционной системы. Эти вирусы могут оставаться активными вплоть до выключения или перезагрузки компьютера.

Нерезидентные вирусы — вирусы, не оставляющие своих резидентных частей в оперативной памяти компьютера. Некоторые вирусы оставляют в памяти некоторые свои фрагменты не способные к дальнейшему размножению такие вирусы считаются не резидентными.

По деструктивным возможностям вирусы подразделяются на:

Безвредные вирусы — это вирусы ни как не влияющие на работу компьютера за исключение, быть может, уменьшения свободного места на диске и объема оперативной памяти.

Неопасные вирусы — вирусы, которые проявляют себя в выводе различных графических, звуковых эффектов и прочих безвредных действий.

Опасные вирусы — это вирусы, которые могут привести к различным сбоям в работе компьютеров, а также их систем и сетей.

Очень опасные вирусы — это вирусы, приводящие к потере, уничтожению информации, потере работоспособности программ и системы в целом.

По особенностям алгоритма работы вирусы можно подразделить на:

Вирусы спутники(companion) — эти вирусы поражают EXE-файлы путем создания COM-файла двойника, и поэтому при запуске программы запустится, сначала COM-файл с вирусом, после выполнения своей работы вирус запустит EXE-файл. При таком способе заражения «инфицированная» программа не изменяется.

Вирусы «черви» (Worms) — вирусы, которые распространяются в компьютерных сетях. Они проникают в память компьютера из компьютерной сети, вычисляют адреса других компьютеров и пересылают на эти адреса свои копии. Иногда они оставляют временные файлы на компьютере но некоторые могут и не затрагивать ресурсы компьютера за исключением оперативной памяти и разумеется процессора.

«Стелс-вирусы» (вирусы-невидимки, stealth) — представляющие собой весьма совершенные программы, которые перехватывают обращения DOS к пораженным файлам или секторам дисков подставляют вместо себя незараженные участки информации. Кроме этого, такие вирусы при обращении к файлам используют достаточно оригинальные алгоритмы, позволяющие «обманывать» резидентные антивирусные мониторы.

«Полиморфные» (самошифрующиеся или вирусы-призраки, polymorphic) — вирусы, достаточно трудно обнаруживаемые вирусы, не имеющие сигнатур, т.е. не содержащие ни одного постоянного участка кода. В большинстве случаев два образца одного и того же полиморфного вируса не будут иметь ни одного совпадения. Это достигается шифрованием основного тела вируса и модификациями программы-расшифровщика.

«Макро-вирусы» — вирусы этого семейства используют возможности макроязыков, встроенных в системы обработки данных (текстовые редакторы, электронные таблицы и т.д.). В настоящее время наиболее распространены макро-вирусы, заражающие текстовые документы редактора Microsoft Word.

По режиму функционирования:

— резидентные вирусы (вирусы, которые после активизации постоянно находятся в оперативной памяти компьютера и контролируют доступ к его ресурсам);

— транзитные вирусы (вирусы, которые выполняются только в момент запуска зараженной программы).

По объекту внедрения:

— файловые вирусы (вирусы, заражающие файлы с программами);

— загрузочные вирусы (вирусы, заражающие программы, хранящиеся в системных областях дисков).

В свою очередь, файловые вирусы подразделяются на вирусы, заражающие:

— исполняемые файлы;

— командные файлы и файлы конфигурации;

— составляемые на макроязыках программирования, или файлы, содержащие макросы (макровирусы — разновидность компьютерных вирусов разработанных на макроязыках, встроенных в такие прикладные пакеты ПО, как Microsoft Office);

— файлы с драйверами устройств;

— файлы с библиотеками исходных, объектных, загрузочных и оверлейных модулей, библиотеками динамической компоновки и т.п.

Загрузочные вирусы подразделяются на вирусы, заражающие:

— системный загрузчик, расположенный в загрузочном секторе и логических дисков;

— внесистемный загрузчик, расположенный в загрузочном секторе жестких дисков.

По степени и способу маскировки:

— вирусы, не использующие средств маскировки;
— stealth-вирусы (вирусы, пытающиеся быть невидимыми на основе контроля доступа к зараженным элементам данных);
— вирусы-мутанты (MtE-вирусы, содержащие в себе алгоритмы шифрования, обеспечивающие различие разных копий вируса).

В свою очередь, MtE-вирусы делятся:

— на обычные вирусы-мутанты, в разных копиях которых различаются только зашифрованные тела, а дешифрованные тела вирусов совпадают;

— полиморфные вирусы, в разных копиях которых различаются не только зашифрованные тела, но и их дешифрованные тела.

Наиболее распространенные типы вирусов характеризуются следующими основными особенностями.

Файловый транзитный вирус целиком размещается в исполняемом файле, в связи, с чем он активизируется только в случае активизации вирусоносителя, а по выполнении необходимых действий возвращает управление самой программе. При этом выбор очередного файла для заражения осуществляется вирусом посредством поиска по каталогу.

Файловый резидентный вирус отличается от нерезидентного логической структурой и общим алгоритмом функционирования. Резидентный вирус состоит из так называемого инсталлятора и программ обработки прерываний. Инсталлятор получает управление при активизации вирусоносителя и инфицирует оперативную память путем размещения в ней управляющей части вируса и замены адресов в элементах вектора прерываний на адреса своих программ, обрабатывающих эти прерывания. На так называемой фазе слежения, следующей за описанной фазой инсталляции, при возникновении какого-либо прерывания управление получает соответствующая подпрограмма вируса. В связи с существенно более универсальной по сравнению с нерезидентными вирусами общей схемой функционирования резидентные вирусы могут реализовывать самые разные способы инфицирования.

Stealth-вирусы пользуются слабой защищенностью некоторых операционных систем и заменяют некоторые их компоненты (драйверы дисков, прерывания) таким образом, что вирус становится невидимым (прозрачным) для других программ.

Полиморфные вирусы содержат алгоритм порождения дешифрованных тел вирусов, непохожих друг на друга. При этом в алгоритмах дешифрования могут встречаться обращения практически ко всем командам процессора Intel и даже использоваться некоторые специфические особенности его реального режима функционирования.

Макровирусы распространяются под управлением прикладных программ, что делает их независимыми от операционной системы. Подавляющее число макровирусов функционирует под управлением текстового процессора Microsoft Word. В то же время известны макровирусы, работающие под управлением таких приложений, как Microsoft Excel, Lotus Ami Pro, Lotus 1-2-3, Lotus Notes, в операционных системах фирм Microsoft и Apple.

Сетевые вирусы , называемые также автономными репликативными программами, или, для краткости, репликаторами, используют для размножения средства сетевых операционных систем. Наиболее просто реализуется размножение в тех случаях, когда сетевыми протоколами возможно и в тех случаях, когда указанные протоколы ориентированы только на обмен сообщениями. Классическим примером реализации процесса электронной почты является репликатор Морриса. Текст репликатора передается от одной ЭВМ к другой как обычное сообщение, постепенно заполняющее буфер, выделенный в оперативной памяти ЭВМ-адресата. В результате переполнения буфера, инициированного передачей, адрес возврата в программу, вызвавшую программу приема сообщения, замещается на адрес самого буфера, где к моменту возврата уже находится текст вируса. Тем самым вирус получает управление и начинает функционировать на ЭВМ-адресате.

«Лазейки» , подобные описанной выше обусловленные особенностями реализации тех или иных функций в программном обеспечении, являются объективной предпосылкой для создания и внедрения репликаторов злоумышленниками.

Эффекты, вызываемые вирусами в процессе реализации ими целевых функций, принято делить на следующие группы:

— искажение информации в файлах либо в таблице размещения файлов (FAT-таблице), которое может привести к разрушению файловой системы в целом;
— имитация сбоев аппаратных средств;
— создание звуковых и визуальных эффектов, включая, например, отображение сообщений, вводящих оператора в заблуждение или затрудняющих его работу;
— инициирование ошибок в программах пользователей или операционной системе.

Приведенная выше классификация не может считаться полной, так как прогресс не стоит на месте, появляются всё новые и новые интеллектуальные устройства и соответственно вирусы, работающие на них, например уже появились вирусы поражающие мобильные телефоны.